HELP ! un méchant virus trojan-gen win32 [Résolu/Fermé]

Signaler
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009
-
 verdeka -
Bonjour,
Mon ordi est infesté par un virus et je n'arrive pas à en venir à bout, il a neutralisé mon antivirus 'avast) et m'empêche d'en installer d'autres.
Avast avant d'expirer m'a donné le nom de son assassin : trojan-gen (other) et quand je veux le lancerou tout autre anti virus que j'installe j'ai un message d'erreur qui me dit que ce n'est pas une application valide Win 32...
Merci à toute personne qui peut m'aider

65 réponses

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
--> Supprime le fichier qui t'a infecté (Crack par exemple).

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 2 (Suppression).

/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
Salut,

--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 1 (Recherche).

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

Ok merci
############################## [ FindyKill V4.717 ]

# User : jean thiebaut (Administrateurs) # NOM-2FF949DF057
# Update on 17/02/09 by Chiquitine29
# Start at: 23:25:44 | 23/02/2009

# Intel(R) Pentium(R) M processor 1.80GHz
# Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 7.0.0.51
[ (!) Disabled | Updated ]

# C:\ # Disque fixe local # FAT32
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM (Mon disque) # CDFS
# F:\ # Disque amovible
# G:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Documents and Settings\jean thiebaut\Application Data\Simply Super Software\Trojan Remover\ftp1.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\ASUS\Wireless Console\wcourier.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Defenza\pcd-as.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe" (2448)
"C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe" (3164)
"C:\WINDOWS\system32\wintems.exe" (3652)

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]

Found ! - C:\WINDOWS\system32\mdelk.exe
Found ! - C:\WINDOWS\system32\wintems.exe
Found ! - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]

Found ! - "C:\WINDOWS\system32\drivers\down"

################## [ C:\.. Application Data ... ]

Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\list.oct"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\data.oct"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\srvlist.oct"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\shared"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\m"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\srosa2.sys"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\wfsintwq.sys"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe"
Found ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\downld"

################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\Local AppWizard-Generated Applications\msnmsgr
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\Local AppWizard-Generated Applications\patch
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-4117893582-3251523194-220142345-1005\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key


################## [ Recherche dans supports amovibles]

# Presence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.717 ! ]

Bagle qui fait des galipettes la-dedans. ;)
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

Qui est Bagle ?
Utilisateur anonyme >
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

L'invité surprise de ton PC, généreusement déposé par un crack. Si tu ne supprimes pas celui-ci, l'infection reviendra et encore et encore et......
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

Aie, je crois qu'il est parti et revenu aussitot
à peine fini la désinfection qu'une fenêtre s'est ouverte, se presentant comme un outil de lecture de boite noire !?
pas d'autre solution que de la fermer et je ne sais pas ou elle est.
Comment retrouver cette M...e ?
je poste le rapport
############################## [ FindyKill V4.717 ]

# User : jean thiebaut (Administrateurs) # NOM-2FF949DF057
# Update on 17/02/09 by Chiquitine29
# Start at: 23:34:05 | 23/02/2009

# Intel(R) Pentium(R) M processor 1.80GHz
# Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 7.0.0.51
[ (!) Disabled | Updated ]

# C:\ # Disque fixe local # FAT32
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM (Mon disque) # CDFS
# F:\ # Disque amovible
# G:\ # Disque amovible

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Documents and Settings\jean thiebaut\Application Data\Simply Super Software\Trojan Remover\ftp1.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\ASUS\Wireless Console\wcourier.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Defenza\pcd-as.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]

Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]

Deleted ! - "C:\WINDOWS\system32\drivers\down"

################## [ C:\.. Application Data ... ]

Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers"

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

651cabab C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
8744e8506969efc11c3912c182cb6001 C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe


################## [ ! End of Report # FindyKill V4.717 ! ]
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
Le truc de la boîte noire, c'est un dropper de Bagle, c'est lui qui installe l'infection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

hello,
Plus personne pour tuer mon virus ?
Il est tellement coriace que vous jetez l'éponge ? rassurez moi ...
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

comment savoir que mes protections sont désactivées
Messages postés
1933
Date d'inscription
dimanche 25 mai 2008
Statut
Membre
Dernière intervention
27 septembre 2013
125
Bonsoir,tu a l'option "désactiver" pour ton pare-feu et ton anti virus...
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

Retour du lecteur de boite noire aussitôt apres, je suis dégoutée, j'ai l'impression de courir après une bestiole
voila le rapport combofix
ComboFix 09-02-21.01 - jean thiebaut 2009-02-24 0:11:54.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.663 [GMT 1:00]
Lancé depuis: c:\documents and settings\jean thiebaut\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\jean thiebaut\Application Data\drivers\downld
c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-23 au 2009-02-23 ))))))))))))))))))))))))))))))))))))
.

2009-02-23 23:41 . 2009-02-23 23:41 <REP> d--h----- c:\documents and settings\jean thiebaut\Application Data\drivers
2009-02-23 23:23 . 2009-02-23 23:23 <REP> d-------- c:\program files\FindyKill
2009-02-23 23:21 . 2009-02-23 23:21 941,088 --a------ c:\program files\FindyKill.exe
2009-02-23 22:57 . 2009-02-23 22:57 268,328 --a------ c:\program files\hijackthis.zip
2009-02-23 22:09 . 2009-02-23 22:09 67,678 --a------ c:\windows\system32\mdelk.exe.vir
2009-02-23 21:20 . 2009-02-23 21:20 <REP> d-------- c:\documents and settings\All Users\Application Data\TEMP
2009-02-23 21:19 . 2009-02-23 21:19 <REP> d-------- c:\program files\Trojan Remover
2009-02-23 21:19 . 2009-02-23 21:19 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\Simply Super Software
2009-02-23 21:19 . 2009-02-23 21:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Simply Super Software
2009-02-23 21:19 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2009-02-23 21:19 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2009-02-23 21:19 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2009-02-23 21:19 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll
2009-02-23 21:19 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2009-02-23 07:15 . 2009-02-23 07:15 <REP> d-------- C:\a-squared Anti-Malware
2009-02-22 22:09 . 2009-02-22 22:09 <REP> d--h----- c:\documents and settings\All Users\Application Data\{2BAE6915-8510-4B9F-B498-02DA86258AA0}
2009-02-22 10:01 . 2009-02-22 10:02 <REP> d-------- C:\Nouveau dossier
2009-02-21 15:51 . 2009-02-21 15:51 <REP> d-------- c:\program files\Defenza
2009-02-21 12:28 . 2009-02-21 12:28 <REP> d-------- c:\program files\Panda Security
2009-02-21 09:13 . 2009-02-21 09:13 31,381,288 --a------ c:\program files\setupfre.exe
2009-02-12 03:12 . 1996-08-26 02:12 345,600 -ra------ c:\windows\system\QTIM32.DLL
2009-02-12 03:01 . 2009-02-12 03:01 1,374 --a------ c:\windows\imsins.BAK
2009-02-09 19:36 . 2009-02-09 19:36 <REP> d-------- c:\program files\Norton Security Scan
2009-02-06 19:39 . 2009-02-06 19:39 308,600 --a------ c:\windows\WLXPGSS.SCR
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll
2009-02-05 15:33 . 2009-02-05 15:33 507 --a------ c:\windows\WININI.QTW
2009-02-05 15:33 . 2009-02-05 15:37 306 --a------ c:\windows\QTW.INI
2009-02-05 15:33 . 2009-02-05 15:33 231 --a------ c:\windows\SYSINI.QTW
2009-02-05 15:32 . 2009-02-05 15:33 30 --a------ c:\windows\RESULT.QTW
2009-02-04 07:24 . 2009-02-04 07:24 1,014,477 --a------ C:\wrar351.exe
2009-02-03 18:27 . 2009-02-03 18:27 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\Zeon
2009-02-03 18:27 . 2009-02-03 18:27 <REP> d-------- c:\documents and settings\All Users\Application Data\Zeon
2009-02-03 15:56 . 2009-02-03 15:56 <REP> d-------- c:\program files\Nuance
2009-02-03 15:55 . 2009-02-03 15:55 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\.oit
2009-02-03 15:55 . 2009-02-03 15:55 32,918 --a------ c:\windows\maxlink.ini
2009-01-31 16:06 . 2006-09-05 11:28 38,480 --------- c:\windows\system32\IJRMF.exe
2009-01-27 10:47 . 2009-01-27 10:47 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\Arcsoft
2009-01-27 10:04 . 2009-01-27 10:04 <REP> d-------- c:\documents and settings\All Users\Application Data\SSScanWizard
2009-01-27 10:04 . 2009-01-27 10:04 <REP> d-------- c:\documents and settings\All Users\Application Data\SSScanAppDataDir
2009-01-27 09:53 . 1995-07-31 13:44 212,480 --a------ c:\windows\system32\PCDLIB32.DLL
2009-01-27 09:53 . 1996-07-01 00:00 77,312 --a------ c:\windows\system32\TWAIN_32.DLL
2009-01-27 09:44 . 2009-01-27 09:44 <REP> d--h----- C:\CanoScan
2009-01-27 09:44 . 2002-05-24 03:04 389,180 --a------ c:\windows\system32\UCS32P.DLL
2009-01-27 09:44 . 2002-04-12 20:17 339,968 --a------ c:\windows\system32\N067UFW.DLL
2009-01-27 09:44 . 2002-09-27 14:56 69,632 --a------ c:\windows\system32\CNQU70.DLL
2009-01-24 08:36 . 2009-01-24 08:36 <REP> d-------- c:\program files\SweetIM
2009-01-24 08:36 . 2009-01-24 08:36 <REP> d-------- c:\documents and settings\All Users\Application Data\SweetIM

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 22:26 642 ----a-w c:\documents and settings\jean thiebaut\Application Data\wklnhst.dat
2009-01-18 19:41 1,630,080 ----a-w c:\program files\Emoticones3D.exe
2009-01-16 20:15 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2009-01-13 20:53 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2009-01-03 14:38 --------- d-----w c:\documents and settings\jean thiebaut\Application Data\AVS4YOU
2009-01-03 14:37 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU
2009-01-03 14:36 --------- d-----w c:\program files\Fichiers communs\AVSMedia
2009-01-03 14:36 --------- d-----w c:\program files\AVS4YOU
2008-12-24 09:23 --------- d-----w c:\program files\MyBloop
2008-12-24 09:23 --------- d-----w c:\program files\Conduit
2008-12-24 09:23 --------- d-----w c:\program files\BloopLoader
2008-12-23 08:39 --------- d-----w c:\documents and settings\jean thiebaut\Application Data\Canon
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:47 826,368 ------w c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47 671,232 ------w c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47 477,696 ------w c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47 44,544 ------w c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47 233,472 ------w c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47 193,024 ------w c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47 105,984 ------w c:\windows\system32\dllcache\url.dll
2008-12-20 22:47 102,912 ------w c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47 1,160,192 ------w c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:11 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-11-08 21:38 270,128 ----a-w c:\program files\utorrent.exe
2007-08-01 06:18 135,680 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-10-01 06:18 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008100120081002\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8369045e-5ba3-41ad-9551-afe9f4f5207c}"= "c:\program files\MyBloop\tbMyB1.dll" [2009-02-04 1881112]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]

[HKEY_CLASSES_ROOT\clsid\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]
2009-02-04 13:44 1881112 --a------ c:\program files\MyBloop\tbMyB1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22 1172792 --a------ c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8369045e-5ba3-41ad-9551-afe9f4f5207c}"= "c:\program files\MyBloop\tbMyB1.dll" [2009-02-04 1881112]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8369045E-5BA3-41AD-9551-AFE9F4F5207C}"= "c:\program files\MyBloop\tbMyB1.dll" [2009-02-04 1881112]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-28 102400]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-09-23 7286784]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"NB Probe"="c:\program files\ASUS\NB Probe\NBProbe.exe" [2005-07-27 765952]
"Wireless Console"="c:\program files\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"BJCFD"="c:\program files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2009-02-23 517768]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-13 185896]
"RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-13 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-01-13 111928]
"Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2008-05-10 29984]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2008-05-10 46368]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-23 81000]
"PCDAS"="c:\program files\Defenza\pcd-as.exe" [2006-12-15 1359872]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-19 506712]
"a-squared"="d:\utilitaires\Antivirus\a-squared Anti-Malware\a2guard.exe" [2009-02-23 2784912]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-02-23 1211784]
"nwiz"="nwiz.exe" [2005-09-23 c:\windows\system32\nwiz.exe]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-14 c:\windows\RTHDCPL.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\documents and settings\jean thiebaut\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
adsl TV.LNK - c:\program files\adslTV\adsltv.exe [2007-10-28 2883584]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS ChkMail.lnk - c:\program files\ASUS\Asus ChkMail\ChkMail.exe [2006-08-12 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [2004-10-15 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [2004-10-15 27264]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
R2 Machnm32;Machnm32 Driver;c:\windows\system32\Machnm32.sys [2007-03-15 2304]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [2006-08-12 720438]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [2006-08-12 8246]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys --> c:\windows\system32\drivers\pavboot.sys [?]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]
S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [2006-10-09 52384]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [2006-10-09 6096]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [2006-10-09 87456]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [2005-05-11 79248]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [2005-05-11 77072]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - EAPHOST
*NewlyCreated* - IP6FW

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48428f2c-79f7-11dd-ae81-00166fae1fc2}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-20 c:\windows\Tasks\Norton Security Scan for jean thiebaut.job
- c:\program files\Norton Security Scan\Nss.exe [2008-12-11 17:49]

2009-02-23 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-MsnMsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU-Run-ICTray - c:\program files\Allume Systems\Internet Cleanup 5.0\ICTray.exe
HKLM-Run-avgnt - c:\program files\AntiVir PersonalEdition Classic\avgnt.exe
HKLM-Run-EoClock - (no file)
HKLM-Run-StandardInstall - (no file)
Notify-WgaLogon - (no file)


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-24 00:13:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(980)
c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
Heure de fin: 2009-02-24 0:14:14
ComboFix-quarantined-files.txt 2009-02-23 23:14:12

Avant-CF: 6 257 180 672 octets libres
Après-CF: 6,609,666,048 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

269 --- E O F --- 2009-02-23 22:40:41
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
/!\ Seul verdeka peut suivre cette procédure. /!\


1/

---> Désinstalle Defenza qui est un rogue.

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\mdelk.exe.vir

Folder::
c:\program files\Defenza
c:\documents and settings\jean thiebaut\Application Data\drivers






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

j'ai suivi la procédure mais quand je glisse le dossier sur combofix, rien ne se passe
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
Ce n'est pas un dossier mais un fichier.
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

j'ai tout reverifié mais pas de fenetre combofix et rien dans c/combofix (sauf l'ancien rapport)
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

ou c"est bien un fichier désolée

Bonsoir

Le fichier doit s'appeler CFScript.txt
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
c:\windows\system32\mdelk.exe.vir
c:\program files\Defenza
c:\documents and settings\jean thiebaut\Application Data\drivers

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Messages postés
19
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
24 février 2009

j'enregistre bien en type : tous les fichiers et le codage ansi ?
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
Fais la nouvelle procédure ;)
au secours tout est bloqué
je ne peux plus me connecter
je suis sur mon ordi de bureau
le portable ramme à fond et je n'arrive meme pas à revenir sur le forum
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073
Refais l'option 2 de FindyKill.
ca y est j'ai refait et la saletee de black box s'est réouverte
voila le dernier rapport
############################## [ FindyKill V4.717 ]

# User : jean thiebaut (Administrateurs) # NOM-2FF949DF057
# Update on 17/02/09 by Chiquitine29
# Start at: 02:00:07 | 24/02/2009

# Intel(R) Pentium(R) M processor 1.80GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 7.0.0.51
[ (!) Disabled | Updated ]

# C:\ # Disque fixe local # FAT32
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM (Mon disque) # CDFS
# F:\ # Disque amovible
# G:\ # Disque amovible

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\notepad.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\ASUS\Wireless Console\wcourier.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected processes stopped ]

"C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe" (2504)
"C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe" (2508)
"C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe" (3304)
"C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe" (3352)

################## [ Infected Files / Folders C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]

Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]

Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers"

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

651cabab C:\_OTMoveIt\MovedFiles\02242009_012527\documents and settings\jean thiebaut\Application Data\drivers\winupgro.exe
8744e8506969efc11c3912c182cb6001 C:\_OTMoveIt\MovedFiles\02242009_012527\documents and settings\jean thiebaut\Application Data\drivers\winupgro.exe

651cabab C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
8744e8506969efc11c3912c182cb6001 C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe


################## [ ! End of Report # FindyKill V4.717 ! ]
ca rame à nouveau
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 073